[原创]在win7 x64下做个简单的内核绘制-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]在win7 x64下做个简单的内核绘制

发表于: 2018-11-8 10:09 15986

[原创]在win7 x64下做个简单的内核绘制

万剑归宗

2018-11-8 10:09

15986

本贴只针对win7 x64系统下的 32位D3D9程序，局限性太大，仅作为抛砖引玉。

下面进入正题。

基本流程如下:

1:在内核中 hook相关shadowSSDT或SSDT函数

2:在目标进程申请内存，写入用于D3D9绘制的shellcode

3:利用APC的力量回到用户模式，执行用于D3D9绘制的 shellcode。

首先，如果我们要做一个hook D3D9的绘制。

自然是要编写dll,

注入到目标进程,

hook D3D9虚函数,

获取到D3D9设备,

执行绘制代码。

时至今日，这种技术已经是基本操作了。

经历各大游戏厂商(代理商)以及外挂作者们之间的斗争，

这种注入以及hook的方式已然不可取。

那么是否有一种相对隐蔽的方式来完成这项工作呢?

答案是有的。（废话，没有你写这贴干嘛【滑稽】）

从我们能想到的根本问题入手的话......

在应用层 hook D3D9虚函数以及直接注入dll会拉闸，

既然如此，我们在内核层做hook，代码全都以shellcode的形式

在目标进程里跑起来。

在win7 x64下, 通过调试一个网上下载的D3D9示例Demo

仔细跟踪其 D3D9的Present函数，我们发现 Present 最终会调用

USER32.HungWindowFromGhostWindow+20处的代码

反汇编如下:

call fs:[000000C0]其实是call Wow64子系统的调用

经过Wow64子系统的包装，最终进入内核。

mov eax, 000012CF这句汇编代码

其中 000012CF代表的是 shadowSSDT 的索引值

了解过 SSDT&shadowsSSDT的朋友都知道

第一个4k页面指向的是SSDT函数

第二个4k页面指向的是shadowSSDT函数

另外两个页面未使用(这是题外话。)

00000012CF在第二个页面上，所以这个索引指向shadowSSDT函数。

我们减去 0x1000 就是它的真实索引值 0x02CF，十进制就是 719。

我们打开PChunter这款非常有用的软件, 我们可以看到索引719指向的

shadowSSDT函数名 NtUserHwndQueryRedirectionInfo

接下来我们就hook这个函数并写好过滤

一般来说，这种shadowSSDT函数，只传进来一个参数(rcx), 保险起见我们写四个。

示例过滤函数如下：（自备shadowSSDT hook引擎，本贴不会放完整代码，防止伸手）

But, 光是这样是不够的, 我们还要在这里获取到D3D9的设备。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层 #调试逆向

收藏・54

免费・3

支持

最新回复 (20)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包 2018-11-8 10:17 1
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 3 楼还行，有时间玩玩看 2018-11-8 10:23 0
niuzuoquan 雪币： 300 活跃值： (2452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 4 楼 mark 2018-11-8 10:33 0
御剑残风雪币： 878 活跃值： (737) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	御剑残风 5 楼 mark 内核绘制牛逼 2018-11-8 10:44 0
pysafe 雪币： 698 活跃值： (4564) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 12 关注私信	pysafe 6 楼感觉更容易被查了 2018-11-8 11:19 1
yewenwenye 雪币： 2899 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	yewenwenye 7 楼被安排得明明白白 2018-11-8 11:32 1
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 8 楼牛逼了，八仙过海各显神通。其实还有很多强势的不着痕迹的shellcode注入方案，大家都不舍得公开罢了。 2018-11-8 12:04 1
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 9 楼围观一下最后于 2018-11-8 13:10 被二娃编辑，原因： 2018-11-8 13:10 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 10 楼显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ 2018-11-8 14:21 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 11 楼 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7 x64下，显存是在GUI进程之间全局共享的。最后于 2018-11-8 16:00 被万剑归宗编辑，原因： 2018-11-8 16:00 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼万剑归宗 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7&nb ... D3D该怎么优化显存占用呢？ 2018-11-8 16:07 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 13 楼 yy虫子yy D3D该怎么优化显存占用呢？ hook present函数不做处理，直接返回0 2018-11-8 16:39 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼万剑归宗 hook present函数不做处理，直接返回0 就是这样做的，不调用Present啊 2018-11-8 17:33 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 15 楼 yy虫子yy 就是这样做的，不调用Present啊别的没什么可优化的了 2018-11-8 17:35 0
maomaolk 雪币： 697 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	maomaolk 16 楼 Mark 2018-12-5 10:39 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 17 楼老铁，你这个还是要回r3啊，还是会被安排了。不如考虑一下直接注入怎么样，puxg不是只拦截注入但是不检测注入吗？直接hookD3D函数好像也不会出事，你这里从内核走一下反而容易直接被爆掉。不过思路是不错的，可以用到别的情景不同的游戏上。 2018-12-18 14:42 0
mb_dbdhdiov 雪币： 280 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_dbdhdiov 18 楼怎么加不上你好友啊。18279000092这是我微信，恳请你加下我，大哥加下我，拜托了 2020-7-17 20:45 0
kai741101314 雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kai741101314 19 楼楼主看到加一下本人Q 956965830 有更好的方式！ 2021-3-2 21:58 0
小小弟中弟雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小小弟中弟 20 楼 hzqst 内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包为什么说留下r3的尾巴被安排，能详细说下吗大佬 2021-11-8 10:50 0
dearfuture 雪币： 2428 活跃值： (2566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 21 楼小小弟中弟为什么说留下r3的尾巴被安排，能详细说下吗大佬[em_88] 线程栈回溯一下就发现不对劲了 2021-11-8 13:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

万剑归宗

发帖

519

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包 2018-11-8 10:17 1
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 3 楼还行，有时间玩玩看 2018-11-8 10:23 0
niuzuoquan 雪币： 300 活跃值： (2452) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 4 楼 mark 2018-11-8 10:33 0
御剑残风雪币： 878 活跃值： (737) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	御剑残风 5 楼 mark 内核绘制牛逼 2018-11-8 10:44 0
pysafe 雪币： 698 活跃值： (4564) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 12 关注私信	pysafe 6 楼感觉更容易被查了 2018-11-8 11:19 1
yewenwenye 雪币： 2899 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	yewenwenye 7 楼被安排得明明白白 2018-11-8 11:32 1
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 8 楼牛逼了，八仙过海各显神通。其实还有很多强势的不着痕迹的shellcode注入方案，大家都不舍得公开罢了。 2018-11-8 12:04 1
二娃雪币： 6314 活跃值： (952) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 9 楼围观一下最后于 2018-11-8 13:10 被二娃编辑，原因： 2018-11-8 13:10 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 10 楼显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ 2018-11-8 14:21 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 11 楼 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7 x64下，显存是在GUI进程之间全局共享的。最后于 2018-11-8 16:00 被万剑归宗编辑，原因： 2018-11-8 16:00 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 12 楼万剑归宗 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7&nb ... D3D该怎么优化显存占用呢？ 2018-11-8 16:07 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 13 楼 yy虫子yy D3D该怎么优化显存占用呢？ hook present函数不做处理，直接返回0 2018-11-8 16:39 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 14 楼万剑归宗 hook present函数不做处理，直接返回0 就是这样做的，不调用Present啊 2018-11-8 17:33 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 15 楼 yy虫子yy 就是这样做的，不调用Present啊别的没什么可优化的了 2018-11-8 17:35 0
maomaolk 雪币： 697 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	maomaolk 16 楼 Mark 2018-12-5 10:39 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 17 楼老铁，你这个还是要回r3啊，还是会被安排了。不如考虑一下直接注入怎么样，puxg不是只拦截注入但是不检测注入吗？直接hookD3D函数好像也不会出事，你这里从内核走一下反而容易直接被爆掉。不过思路是不错的，可以用到别的情景不同的游戏上。 2018-12-18 14:42 0
mb_dbdhdiov 雪币： 280 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_dbdhdiov 18 楼怎么加不上你好友啊。18279000092这是我微信，恳请你加下我，大哥加下我，拜托了 2020-7-17 20:45 0
kai741101314 雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kai741101314 19 楼楼主看到加一下本人Q 956965830 有更好的方式！ 2021-3-2 21:58 0
小小弟中弟雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小小弟中弟 20 楼 hzqst 内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包为什么说留下r3的尾巴被安排，能详细说下吗大佬 2021-11-8 10:50 0
dearfuture 雪币： 2428 活跃值： (2566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 21 楼小小弟中弟为什么说留下r3的尾巴被安排，能详细说下吗大佬[em_88] 线程栈回溯一下就发现不对劲了 2021-11-8 13:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复